Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 7 - was passiert direkt nach der Anmeldung eines Users ?

Mitglied: ZacMcKracken

ZacMcKracken (Level 1) - Jetzt verbinden

26.07.2014 um 08:42 Uhr, 2093 Aufrufe, 17 Kommentare

moin moin,
mein Windows 7 SP1 friert direkt nach der benutzeranmeldung ein, dass nur noch ausschalten mit powerknopp geht.
der desktop baut sich auf, dann kommen noch ein paar meldungen diverser programme, nix besonderes.
wenn der startvorgang beendet ist (mousezeiger da, keine eieruhr mehr) passierts, und zwar IMMER
der rechner ist komplett weg, auf ein ping reagiert er auch nicht mehr.

die ereignisanzeige ist "unauffaellig", direkt vorm einfrieren keine erkennbaren auffaelligkeiten.

melde ich mich mit einem anderen benutzer an, funktioniert die kiste besten, ebenso im abgesicherten modus.

also gehe ich davon aus, dass direkt nach der anmeldung irgendetwas gestartet wird, was zum einfrieren fuehrt.

den autostartordner habe ich bereits komplett geleert, keine aenderung
unter "run" und "runonce" nix verdaechtiges.

auch keinerlei aenderungen an der hard- oder software in den letzten Monaten
(ist ein Asus G72 Laptop)
das ging vor 3 tagen los und ist seitdem bei jeder Anmeldung so.

nun wuesste ich gerne, was bei einem bestimmten user nach dem login abgearbeitet wird und wo ich das in der registrierung finde , damit ich den uebeltaeter entlarven kann.

TIA !!!





Mitglied: wiesi200
26.07.2014 um 08:58 Uhr
Hallo,

Um den Übeltäter zu finden sieht man in der Regel am besten im Eventlog nach. Was steht da drinnen?
Bitte warten ..
Mitglied: departure69
26.07.2014 um 09:05 Uhr
Hallo.

Diese Suche, die Du da vorhast, klingt recht aufwendig. Wenn das nur ein Profil betrifft (also Deines), und Du in letzter Zeit bewußt nichts installiert und auch sonst nichts geändert hast, hast Du Dir scheinbar trotzdem irgendeinen Mist eingefangen, der nur Dein Profil betrifft (wahrscheinlich beim Surfen).

Wäre das mein Rechner, würde ich nicht allzuviel Zeit darin investieren. Meine Vorgehensweise wäre so:

- Du hast zwar die Run- und RunOnce-Schlüssel angesehen und nichts auffälliges gefunden, trotzdem würde ich nochmal msconfig aufrufen und das Register "Systemstart" durchsehen, da sind wirklich alle Sachen aufgelistet, die beim Start so passieren

- Virenvollscan (von dem anderen Account aus, der nicht einfriert)

- Vollscan auf Spy- und Adware (möglicherweise brauchst Du dazu ein Extra-Tool, wenn Deine AV-Software das nicht schon mitmacht) - ebenfalls von dem funktionierenden Account aus

- danach hiervon booten und nochmals suchen: http://windows.microsoft.com/de-de/windows/what-is-windows-defender-off ...

- wird nichts gefunden bzw. ergibt sich keine Besserung, würde ich von dem anderen Account aus (der hoffentlich ein administrativer ist) die Daten in Deinem "Einfrier"-Profil sichern, das "Einfrier"-Profil löschen, den "Einfrier"-Account löschen und neu anlegen

- wenn Du danach immer noch irgendwie merkst oder meinst, daß irgendetwas nicht stimmt, würde ich auf Nummer sicher gehen und die Kiste neu aufsetzen (vorheriges Backup versteht sich von selbst, hoffe ich)


Viele Grüße

von

departure
Bitte warten ..
Mitglied: departure69
26.07.2014 um 09:06 Uhr
@wiesi200:

Hallo.

Er schreibt doch, daß die Ereignisanzeige "unauffällig" ist.

Grüße

von

departure69
Bitte warten ..
Mitglied: Lochkartenstanzer
26.07.2014, aktualisiert um 09:13 Uhr
Ciao,

Du könntest auch mit autoruns schauen, was alles bei dem User automatisch gestartet wird. Der Autostart Ordner allein ist nur eines von vielen Möglichkeiten, bei der Benutzeranmeldung automatisch Programme zu starten

lks

PS: vermutlich iest es aber einfach nur ein kaputtes Userprofil. ich würde einfach die Daten sichern und ein neues Profil anlegen.
Bitte warten ..
Mitglied: lisaluft
26.07.2014 um 10:49 Uhr
Wenn der Computer mit anderem Profil funktioniert tippe ich auch auf ein Profilproblem beim genannten "Problemuser".

-> Sicherung benötigter Dateien vom "defekten Profil" machen
-> mit funktonierenden Benutzer unter "C:\Users" den gesamten Profilordner des "defekten Profils" löschen
-> In der Registry unter "HKLM/Software/Microsoft/Windows NT/CurrentVersion/Profile List" den dazugehörigen Eintrag entfernen (Eintrag kann unter ProfileImagePath im Ordner identifiziert werden
-> Rechner neu starten und den vermutlich defekten Benutzer neu einloggen

Sollte funktonieren, wenn nicht ist es kein Problem am Profil.
Bitte warten ..
Mitglied: Motherboard33
26.07.2014 um 11:33 Uhr
lege die windows cd ein und führe eine startrepatur durch!hast du das getan und es funktioniert wieder lade dir den ccleaner herunter und reinige dein system
Bitte warten ..
Mitglied: ZacMcKracken
26.07.2014 um 11:37 Uhr
hey, danke fuer die tips !
an's loeschen des profils habe ich natuerlich auch schon gedacht, ist nur ziemlich viel angepasst worden, was somit weg waere...
der andere acount ist administrator (konnte im abgesicherten modus den admin-account aktivieren) somit komme ich ueberall ran

werde dann mal "autoruns" und "msconfig" befragen (mit tuneup hatte ich schon gesucht) und die defender scheibe toasten, wenn ich da auch nichts finde, fliegt der user raus !
ich verzettle mich schon lange nicht mehr in endlosen reparaturversuchen, die meist eh damit enden, dass es nur noch schlimmer wird, man tage verschwendet und am ende doch alles platt macht

nur in diesem fall wuerde mich brennend interessieren, WAS ich mir da eingetreten habe, war zur besagten zeit nur auf bekannten websites, auf denen "mit an sicherheit grenzender wahrscheinlichkeit" keine schadsoftware zu erwarten ist ....
Bitte warten ..
Mitglied: ZacMcKracken
26.07.2014, aktualisiert um 11:44 Uhr
die Windows-cd findet nicht "reparaturwuerdiges", ccleaner war das erste, was ich gemacht habe
Bitte warten ..
Mitglied: Lochkartenstanzer
26.07.2014 um 12:08 Uhr
Zitat von Motherboard33:

lege die windows cd ein und führe eine startrepatur durch!>

Er hat keine Startprobleme, das nützt bei diesem problem üebrhaupt nichts.

hast du das getan und es funktioniert wieder lade dir den ccleaner
herunter und reinige dein system

CCleaner ist für diese problem ungeeignet.


lks
Bitte warten ..
Mitglied: 16568
27.07.2014 um 13:52 Uhr
Zitat von ZacMcKracken:
nur in diesem fall wuerde mich brennend interessieren, WAS ich mir da eingetreten habe, war zur besagten zeit nur auf bekannten
websites, auf denen "mit an sicherheit grenzender wahrscheinlichkeit" keine schadsoftware zu erwarten ist ....

Öhm, auch spiegel.de, wetter.com und Andere haben schon Schadcode ausgeliefert...


Lonesome Walker
Bitte warten ..
Mitglied: ZacMcKracken
27.07.2014 um 13:55 Uhr
haha, deswegen auch "mit an sicherheit grenzender wahrscheinlichkeit" also NICHT 100% ....
Bitte warten ..
Mitglied: Motherboard33
27.07.2014 um 18:38 Uhr
wie sieht es mit deiner festplatte aus, weil es kann sein dass einige sektoren defekt bzw. beschädigt sind und deshalb der pc so lahm ist
Bitte warten ..
Mitglied: Lochkartenstanzer
27.07.2014 um 20:53 Uhr
Zitat von ZacMcKracken:

haha, deswegen auch "mit an sicherheit grenzender wahrscheinlichkeit" also NICHT 100% ....

Blödsinn.

Solange die externe Werbepartner benutzen, handelt man sich bei diesen Seiten mit 100% Wahrscheinlichkeit irgendwann Malware ein.

lks
Bitte warten ..
Mitglied: ZacMcKracken
27.07.2014 um 23:14 Uhr
ok, dann bin ich wohl die absolute ausnahme, ich benutze das internet, seit es das (in der jetzigen form) gibt, die meiste zeit OHNE irgendwelche firewalls, virenscanner (ausgenommen die im system integrierte schutzsoftware und die firewall des routers, aber zu anfangszeiten gabs weder das eine noch das andere bei mir) oder sonst welche ueberbewertete software - ich hatte EINMAL in den ganzen jahren einen "schaedling" auf einem rechner (meist 3-4 parallel im einsatz)
warum ?
weil ich nicht alles anklicke, was mir unter den mousezeiger kommt, UND weil ich mein gehirn nicht an der garderobe aufhaenge, wenn ich mich an den rechner begebe ....
natuerlich "kann" man sich auch auf vermeintlich "sicheren" seiten was eintreten, aber da mir das seit ueber 20 jahren nur einmal passiert ist, halte ich deine aussage mit den 100% wahrscheinlichkeit doch fuer etwas "ueberzogen", was nicht im umkehrschluss heissen soll, dass sich ottonormalwindowsbenutzer OHNE schutzsoftware ins internet trauen sollte
also bezeichne bitte nicht pauschal meine aussage als BLOEDSINN
das einzige, was ich fast immer an habe, ist ein adblocker im firefox !

...btt...

saemtliche antimalware programme (spybot, hijackthis, windows defender offline) haben NICHTS gefunden - was mich in meiner obigen aussage bestaerkt...
hab das profil gesichert (manuell und mit windows easy transfer), den user samt ordner geloescht, neustart, anmelden, mit easy transfer sicherung zurueck gespielt - und es geht wieder - KEINE ahnung, was das war, aber das ist ja nichts neues bei windows ...

@Motherboard33
defekte platte ist es mit ziemlicher sicherheit nicht, keinerlei S.M.A.R.T.-meldungen, und ich hatte den PC im aufgehaengten zustand auch mal 'nen halben tag stehen lassen, damit er mal "in ruhe" drueber nachdenken kann, ob er nicht doch noch weitermachen will

danke an alle fuer die zahlreichen tips !

gibt's eigentlich kein tool, das den systemstart protokolliert ?
dann koennte man zumindest sehen, nach welchem programm der haenger auftritt ...
bei OS/2 gabs sowas glaube ich mal ...
oder waer das eh quatsch, weil zu viele prozesse parallel laufen ?
Bitte warten ..
Mitglied: Lochkartenstanzer
28.07.2014, aktualisiert um 08:47 Uhr
Zitat von ZacMcKracken:

ok, dann bin ich wohl die absolute ausnahme, ich benutze das internet, seit es das (in der jetzigen form) gibt, die meiste zeit
OHNE irgendwelche firewalls, virenscanner (ausgenommen die im system integrierte schutzsoftware und die firewall des routers, aber
zu anfangszeiten gabs weder das eine noch das andere bei mir) oder sonst welche ueberbewertete software - ich hatte EINMAL in den
ganzen jahren einen "schaedling" auf einem rechner (meist 3-4 parallel im einsatz)
warum ?
weil ich nicht alles anklicke, was mir unter den mousezeiger kommt, UND weil ich mein gehirn nicht an der garderobe aufhaenge,
wenn ich mich an den rechner begebe ....

Obwohl mein Blödsinn nciht darauf bezog, hast Du absolut glück gehabt. Denn driveby-Infektionen benötigen keine Klick und man merkt das nciht sofort. Die sind seltener udn wenn die gut gemacht sind, braucht man medhrere Wochen, bis man die Infektion gemerkt hat, wenn man sie üebrhaupt bemerkt.

natuerlich "kann" man sich auch auf vermeintlich "sicheren" seiten was eintreten, aber da mir das seit ueber
20 jahren nur einmal passiert ist, halte ich deine aussage mit den 100% wahrscheinlichkeit doch fuer etwas "ueberzogen",
was nicht im umkehrschluss heissen soll, dass sich ottonormalwindowsbenutzer OHNE schutzsoftware ins internet trauen sollte
also bezeichne bitte nicht pauschal meine aussage als BLOEDSINN

Meine 100% Aussage bezog sich darauf, daß "vertrauenswürdige Seiten" mit "an Sicherheit grenzender Wahrscheinlichkeit" keine Malware verteiln. Was definitiv falsch ist. Über solceh Seiten wird imemr wieder malware verbreitet, und die Leute bekommen das nciht einmal mit. Die Malwre-verbreiter sind inzwischen schlau genug, die Werbung per script so zu gestallten, daß die Kisten, denen die malware "präsentiert" werden sehr gezielt ausgesucht werden.

Daher heitß mit 100% Wahrscheinlichektz, daß diese Netzwerker immer wieder malware den Kisten anbieten. Du kannst natürlich das Glück haben, nie zu den Kisten zu gehören, die das abbekommen.

das einzige, was ich fast immer an habe, ist ein adblocker im firefox !

Auch Addblocker sind fehlbar.

saemtliche antimalware programme (spybot, hijackthis, windows defender offline) haben NICHTS gefunden - was mich in meiner obigen
aussage bestaerkt...
hab das profil gesichert (manuell und mit windows easy transfer), den user samt ordner geloescht, neustart, anmelden, mit easy
transfer sicherung zurueck gespielt - und es geht wieder - KEINE ahnung, was das war, aber das ist ja nichts neues bei windows

Beachte das halteproblem: malwarescanner könen imme rnur sicher Aussagen, daß man sich etwas eingefangen hat. Die können aber nice zweofelsfrei bestätigen, daß man sich nichts eingefangen hat. das evrstehen aber nur die wenigsten.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
28.07.2014 um 08:48 Uhr
Zitat von ZacMcKracken:

gibt's eigentlich kein tool, das den systemstart protokolliert ?
dann koennte man zumindest sehen, nach welchem programm der haenger auftritt ...
bei OS/2 gabs sowas glaube ich mal ...
oder waer das eh quatsch, weil zu viele prozesse parallel laufen ?

F8 beim booten und Systemstart protokollieren anwählen. Zumindest bei windows.

Unter Unix und Linux kann man einafch den loglevel hochsetzen, wenn die Meldungen im syslog nicht ausreichen.

lks
Bitte warten ..
Mitglied: ZacMcKracken
28.07.2014 um 09:19 Uhr
ah ja - da war ja was
allerdings wage ich fast zu bezweifeln, dass da was hilfreiches zu finden gewesen waere ...
was soll's - haken dran, geht ja wieder
Bitte warten ..
Ähnliche Inhalte
Windows 7

Laptop mit Windows 7 Prof. -Benutzeranmeldung nach Anmeldung direkte Abmeldung.

Frage von GomatiWindows 73 Kommentare

Hallo an alle Hilfsbereiten. Mein Vater hat auf seinem Laptop mithilfe eines Anti-Malware Programmes (Malware Antibites) einen Suchlauf durchgeführt ...

Windows Server

Anmeldung direkt am DC nicht möglich

Frage von ThomasGrWindows Server17 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Sicherheit

Was ist auf einmal passiert?

Frage von DavidASicherheit12 Kommentare

Meine Chefin hat an ihrem Rechner seit heute morgen folgendes Problem: 1. Signaturen aus Outlook sind verschwunden 2. Excel-Dateien ...

Firewall

Was passiert hier?

gelöst Frage von transoceanFirewall2 Kommentare

Moin, in letzter Zeit häufen sich Meldungen dieser Art from Any to DMZ, type=Sig(1055397) DNS Microsoft DNS Server NAPTR ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 19 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 19 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 1 TagSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
gelöst Frage von YellowcakeExchange Server23 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

LAN, WAN, Wireless
Gigabit-Lan mit zwei 4-adrigen Kabeln?
Frage von ArvedirmerLAN, WAN, Wireless11 Kommentare

Ich habe folgendes Problem: Ich betreue eine kleine Firma die sich im 1.Stock eines Gebäudes befindet. Es existiert ein ...